Faille des CSS dans IE : Google aurait donné trop d'informations
Peut-être la prochaine ne diront-ils rien...
Une nouvelle faille est en cours d'investigation chez Microsoft après que Google a averti le géant d'un problème relevé par Michal Zalewski, chercheur en sécurité travaillant à Mountain View. Le souci est que Microsoft reproche la manière trop visible dont Google a opéré.
Michal Zalewski est donc chercheur en sécurité chez Google. Il en est venu à découvrir une nouvelle faille d’Internet Explorer en utilisant cross_fuzz, un outil de fuzzing dédié aux navigateurs. Le fuzzing est une technique de test des logiciels qui consiste à envoyer à ces derniers des données aléatoires via les points d’entrée. La technique est utile pour trouver des failles de sécurité et plus globalement des bugs, mais on peut s’en servir en rétro-ingénierie (reverse engineering). À noter que le fuzzing est particulièrement utilisé dans le cas où l’on ne connaît pas le fonctionnement exact du logiciel à tester.
Jerry Briant, responsable des communications au sein de la division Trustworthy Computing, a confirmé qu’une première version de cross_fuzz avait été donnée à Microsoft en juillet dernier. Cette mouture n’avait mis en évidence aucune faille chez les deux sociétés. La situation a changé avec l’arrivée d’une mise à jour de cross_fuzz.
Jerry Briant explique : « Le 21 décembre, une nouvelle version de l’outil nous a été rapportée en même temps que des informations sur un crash éventuellement exploitable trouvé par cette nouvelle version. Nous avons immédiatement travaillé à reproduire le problème avec les versions originale et mise à jour de l’outil, et nous continuons à enquêter afin de savoir si la faille est réellement exploitable. »
Le chercheur Michal Zalewski n’est pas tout à fait d’accord avec la version des évènements donnée par Jerry Briant : « La communication actuelle de Microsoft laisse supposer que des différences substantielles existaient entre les variantes de juillet et décembre de cross_fuzz, et que la version du 29 juillet ne pouvait pas reproduire la vulnérabilité mise en avant dans msie_crash.txt. Ce n’est pas cohérent avec mon rapport ».
Le souci désormais pour Microsoft est que Michal Zalewski a publié l’outil de fuzzing pour le grand public le jour de l’an. Du coup, la firme de Redmond n’est pas spécialement heureuse et estime que Michal Zalewski a augmenté le risque pour les utilisateurs d’Internet Explorer puisque les cybercriminels pourraient exploiter la faille avant qu’un patch soit publié. Dans le même temps, l’éditeur affirme qu’aucune exploitation justement n’a été faite de la faille. De son côté, Zalewski estime qu'il était de son devoir de publier ce qu'il savait, car il pense que des sources tierces chinoises connaissent déjà ces détails.
Le cycle de publication des patchs est normalement fixé au deuxième mardi de chaque mois. Le prochain est donc le 11 janvier, mais il est peut-être un peu optimiste d’attendre le correctif si tôt. En fonction de la dangerosité de la situation, Microsoft choisira peut-être de publier son correctif en-dehors du cycle, ce qui n’arrive qu’assez exceptionnellement.
Michal Zalewski est donc chercheur en sécurité chez Google. Il en est venu à découvrir une nouvelle faille d’Internet Explorer en utilisant cross_fuzz, un outil de fuzzing dédié aux navigateurs. Le fuzzing est une technique de test des logiciels qui consiste à envoyer à ces derniers des données aléatoires via les points d’entrée. La technique est utile pour trouver des failles de sécurité et plus globalement des bugs, mais on peut s’en servir en rétro-ingénierie (reverse engineering). À noter que le fuzzing est particulièrement utilisé dans le cas où l’on ne connaît pas le fonctionnement exact du logiciel à tester.
Jerry Briant, responsable des communications au sein de la division Trustworthy Computing, a confirmé qu’une première version de cross_fuzz avait été donnée à Microsoft en juillet dernier. Cette mouture n’avait mis en évidence aucune faille chez les deux sociétés. La situation a changé avec l’arrivée d’une mise à jour de cross_fuzz.
Jerry Briant explique : « Le 21 décembre, une nouvelle version de l’outil nous a été rapportée en même temps que des informations sur un crash éventuellement exploitable trouvé par cette nouvelle version. Nous avons immédiatement travaillé à reproduire le problème avec les versions originale et mise à jour de l’outil, et nous continuons à enquêter afin de savoir si la faille est réellement exploitable. »
Le chercheur Michal Zalewski n’est pas tout à fait d’accord avec la version des évènements donnée par Jerry Briant : « La communication actuelle de Microsoft laisse supposer que des différences substantielles existaient entre les variantes de juillet et décembre de cross_fuzz, et que la version du 29 juillet ne pouvait pas reproduire la vulnérabilité mise en avant dans msie_crash.txt. Ce n’est pas cohérent avec mon rapport ».
Le souci désormais pour Microsoft est que Michal Zalewski a publié l’outil de fuzzing pour le grand public le jour de l’an. Du coup, la firme de Redmond n’est pas spécialement heureuse et estime que Michal Zalewski a augmenté le risque pour les utilisateurs d’Internet Explorer puisque les cybercriminels pourraient exploiter la faille avant qu’un patch soit publié. Dans le même temps, l’éditeur affirme qu’aucune exploitation justement n’a été faite de la faille. De son côté, Zalewski estime qu'il était de son devoir de publier ce qu'il savait, car il pense que des sources tierces chinoises connaissent déjà ces détails.
Le cycle de publication des patchs est normalement fixé au deuxième mardi de chaque mois. Le prochain est donc le 11 janvier, mais il est peut-être un peu optimiste d’attendre le correctif si tôt. En fonction de la dangerosité de la situation, Microsoft choisira peut-être de publier son correctif en-dehors du cycle, ce qui n’arrive qu’assez exceptionnellement.
Vincent Hermann
le 5 janvier 2011 à 10:10
(21 470
lectures)
Actualités et brèves relatives
- 27 / 12 / 2010 : Internet Explorer : faille liée aux CSS dans les versions 6, 7 et 8
- 21 / 07 / 2010 : Adobe Reader et Acrobat : un mode protégé très bientôt
- 21 / 07 / 2010 : Sécurité : Dell enferme Firefox dans une machine virtuelle
- 01 / 06 / 2010 : Google se débarrasse de toutes ses machines sous Windows
- 14 / 04 / 2010 : Java : une faille 0-day pour tous les navigateurs sous Windows
- 30 / 03 / 2010 : Mise à jour de sécurité exceptionnelle chez Microsoft
- 25 / 03 / 2010 : Concours Pwn2Own : tous les navigateurs ont été piratés
- 11 / 03 / 2010 : La récente faille 0-Day d’Internet Explorer déjà exploitée
